La CJUE, réunie en Assemblée plénière, déclare conforme au droit européen, sous conditions, les dispositions du Code de la propriété intellectuelle autorisant l’ARCOM à accéder aux données personnelles conservées par les opérateurs de communications électroniques, pour mettre en œuvre la « riposte graduée » visant à lutter contre le téléchargement d’œuvres protégées par le droit d’auteur et les droits voisins (CJUE, Ass. Plén., 30 avril 2024, Aff. C-470/21, La Quadrature du Net et al., c/ Premier ministre et Ministre de la Culture français).
Plusieurs associations de protection des droits des personnes avaient saisi le Conseil d’Etat d’un recours en annulation de la décision implicite du Premier ministre de rejeter leur demande d’abrogation d’un décret n°2010-236, pris sur le fondement de l’article L.331-21 du code de la propriété intellectuelle, organisant les modalités d’obtention, par les agents assermentés de la HADOPI (depuis devenue l’ARCOM par fusion avec le CSA), auprès des opérateurs de communications électroniques, de certaines données d’identification des internautes, afin de lutter contre le téléchargement illicite d’œuvres protégées.
Au regard des nombreuses décisions rendues par la Cour de Justice ces 10 dernières années sur les modalités de conservation des données personnelles par ces opérateurs et de l’accès à ces données par les autorités compétentes pour lutter contre les infractions en ligne, le Conseil d’Etat a décidé de poser à la juridiction européenne plusieurs questions préjudicielles visant à vérifier, en substance, la conformité au droit européen des textes précités et, plus généralement, du dispositif légal français organisant les traitements de données personnelles nécessaires à la mise en œuvre du dispositif de riposte graduée dont la HADOPI avait la charge et incombant dorénavant à l’ARCOM.
La Cour de justice décide que les dispositions de la loi française en cause sont conformes au droit européen et, en particulier, à l’article 15 de la directive n°2002/58 dite « vie privée et communications électroniques », qui autorise par exception et à certaines conditions la conservation généralisée des données d’identification, et aux articles 7, 8, 11 et 52 de la Charte des droits fondamentaux, sous réserve que soient respectées les conditions suivantes :
- Les données relatives à l’identité civile (qui sont les données concernées) correspondant aux adresses IP fournies préalablement par les titulaires de droits à l’ARCOM comme étant utilisées à des fins de téléchargement non autorisé d’œuvres protégées, doivent être conservées de manière séparée et étanche des autres catégories de données (adresses IP elles-mêmes, données de trafic, données de localisation), de manière à éviter toute exploitation combinée de ces données et ainsi de tirer des conclusions précises sur la vie privée des personnes concernées ;
- L’accès de l’ARCOM à ces données doit servir exclusivement à identifier les personnes soupçonnées d’avoir télécharger des œuvres protégées sans autorisation et doit être entouré des garanties permettant d’éviter de tirer des conclusions précises sur leur vie privée ; parmi ces garanties, il doit être interdit aux agents assermentés de l’ARCOM (i) de divulguer quelque information que ce soit sur les fichiers consultés par ces personnes, sauf pour saisir le ministère public, (ii) de procéder au traçage du parcours de navigation des intéressés et (iii) d’utiliser les adresses IP à d’autres fins que l’identification desdites personnes ;
- La possibilité de « croiser » ces données d’identification avec celles permettant de connaître le titre des œuvres téléchargées, qui ne doit intervenir qu’au dernier stade de la riposte graduée (c’est-à-dire après l’envoi de deux recommandations restées sans effet), pour envisager les sanctions prévues par les textes, doit être subordonnée au contrôle d’une juridiction ou d’une autorité administrative indépendante distincte de l’ARCOM, préalablement à ce croisement d’informations ;
- Le système automatisé utilisé par l’ARCOM pour procéder à ces opérations doit faire l’objet d’un contrôle régulier par un organisme indépendant, visant à vérifier son intégrité et notamment sa protection contre les risques d’accès et d’utilisation abusifs ou illicites des données, ainsi que son efficacité et sa fiabilité à détecter les défaillances éventuelles.